首页 > 清静研究 > 清静转达 > 清静周报

信息清静周报-2018年第16周

宣布时间 2018-04-25

一、本周清静态势综述
2018年04月16日至20日共收录清静误差47个，，，值得关注的是Belkin N750栈缓冲区溢出误差；；；Discuz! DiscuzX CVE-2018-10298跨站剧本误差；；；Spring Data Commons远程代码执行误差；；；Oracle WebLogic Server反序列化远程代码执行误差；；；Adobe Flash Player越界写恣意代码误差。。。。。。

本周值得关注的网络清静事务是泰国运营商TrueMove H的用户数据泄露，，，约4.6万用户受到影响；；；最新的研究显示大宗Android应用违规收罗儿童的隐私信息；；；研究职员称数百万个APP通过广告SDK泄露用户数据；；；CCleaner APT视察后续：攻击者通过TeamViewer进入Piriform的网络；；；研究职员发明数据公司LocalBlox的约4800万用户数据可果真会见。。。。。。

凭证以上综述，，，本周清静威胁为中。。。。。。

二、主要清静误差列表
1、Belkin N750栈缓冲区溢出误差

Belkin N750保存基于栈的缓冲区溢出误差，，，允许远程攻击者使用误差向proxy.cgi发送HTTP请求，，，可使应用程序崩�；；；蛑葱许б獯�。。。。。。

用户可参考如下厂商提供的清静补丁以修复该误差：https://www.tenable.com/security/research/tra-2018-08
2、Discuz! DiscuzX CVE-2018-10298跨站剧本误差

Discuz! DiscuzX data/template/1_diy_portal_view.tpl.php未限制内容，，，允许远程攻击者使用误差注入恶意剧本或HTML代码，，，当恶意数据被审查时，，，可获取敏感信息或挟制用户会话。。。。。。

用户可参考如下厂商提供的清静补丁以修复该误差：https://laworigin.github.io/2018/04/22/Discuz-x-portal-Stored-XSS/
3、Spring Data Commons远程代码执行误差

Spring Data Commons处置惩罚SPEL表达式保存清静误差，，，允许远程攻击者使用误差提交特殊的请求，，，以WEB权限执行恣意下令。。。。。。

用户可参考如下厂商提供的清静补丁以修复该误差：https://pivotal.io/security/cve-2018-1273
4、Oracle WebLogic Server反序列化远程代码执行误差

Oracle WebLogic Server保存反序列化误差，，，允许远程攻击者使用误差提交特殊请求，，，以应用程序上下文执行恣意代码。。。。。。

用户可参考如下厂商提供的清静补丁以修复该误差：http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html
5、Adobe Flash Player越界写恣意代码误差

Adobe Flash Player保存越界写误差，，，允许远程攻击者使用误差提交特殊文件，，，诱使用户剖析，，，可以应用程序上下文执行恣意代码。。。。。。

用户可参考如下厂商提供的清静补丁以修复该误差：https://helpx.adobe.com/security/products/flash-player/apsb18-08.html

三、主要清静事务综述
1、泰国运营商TrueMove H的用户数据泄露，，，约4.6万用户受到影响

清静研究职员Niall Merrigan发明泰国最大的4G移动运营商TrueMove H的一个Amazon AWS S3可果真会见，，，泄露的数据包括用户的驾驶执照和护照等身份证件的扫描，，，数据总量为约4.6万条纪录，，，共32GB。。。。。。该数据库直到4月12日还可继续会见，，，随后该公司限制了其会见权限。。。。。。TrueMove H声明称数据泄露事务影响的是其子公司I True Mart。。。。。。

原文链接：https://securityaffairs.co/wordpress/71406/data-breach/truemove-h-data-leak.html

2、最新的研究显示大宗Android应用违规收罗儿童的隐私信息

来自美国多所大学的隐私专家剖析了Google Play市肆的“为家庭而设计”（DFF）妄想的5855个Android app，，，发明凌驾57%的app可能违反了儿童在线隐私�；；；しò福–OPPA）。。。。。。约5%的app未经允许网络用户的位置和联系人信息，，，约19%的app与第三方共享敏感信息，，，约40%的app违反了旨在�；；；ざ降腉oogle效劳条款。。。。。。主要缘故原由是大大都app使用的SDK通常自动网络用户信息。。。。。。

原文链接：http://news.softpedia.com/news/thousands-of-android-apps-are-tracking-kids-without-parental-consent-520696.shtml

3、研究职员称数百万个APP通过广告SDK泄露用户数据

卡巴斯基实验室清静研究员Roman Unuchek体现，，，数百万个APP使用了第三方的SDK，，，但并没有�；；；ふ庑┕愀鍿DK传输给第三方广告商的用户数据。。。。。。这些数据包括用户的小我私家身份信息如姓名、年岁、收入甚至电话号码和电子邮件地点等，，，这些数据通过HTTP以未加密的方法传输，，，很容易被阻挡和修改，，，导致恶意软件熏染和勒索等。。。。。。

原文链接：https://threatpost.com/millions-of-apps-leak-private-user-data-via-leaky-ad-sdks/131251/

4、CCleaner APT视察后续：攻击者通过TeamViewer进入Piriform的网络

Avast研究职员宣布CCleaner APT的后续视察效果。。。。。。攻击者首先在2017年3月11日通过一个开发职员事情站上的TeamViewer进入Piriform公司的网络，，，其怎样获取有用的登录凭证还不得而知。。。。。。凭证日志文件，，，攻击者在外地时间破晓5点举行渗透，，，其使用的有用荷载是为此次攻击而定制的ShadowPad。。。。。。

原文链接：https://blog.avast.com/update-ccleaner-attackers-entered-via-teamviewer

5、研究职员发明数据公司LocalBlox的约4800万用户数据可果真会见

UpGuard的研究职员发明数据公司LocalBlox的一个AWS S3可果真会见，，，内里存储了该公司从Facebook、LinkedIn、Twitter和房地产公司Zillow等网站上网络的约4800万用户的果真资料。。。。。。这些数据包括用户的姓名、出生日期、现实地点、（LinkedIn）事情历史纪录、部分用户的IP和电子邮件地点以及部分用户的小我私家净资产等信息。。。。。。

原文链接：https://www.bleepingcomputer.com/news/security/data-firm-left-profiles-of-48-million-users-on-a-publicly-accessible-aws-server/

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究

信息清静周报-2018年第16周

关于鉴黑担保网

解决计划

联系鉴黑担保网

7*24小时效劳热线